病毒名稱:Trojan/PSW.QQpass.br
中 文 名:“QQ大盜”
病毒類型:木馬
危害等級:★★
影響平臺:Win 9x/2000/XP/NT/Me/2003
“QQ大盜”病毒可以利用IE
瀏覽器mht漏洞,通過利用該漏洞編寫的惡意網(wǎng)頁代碼,自動下載一個網(wǎng)上的chm文件, “QQ大盜”病毒即內(nèi)嵌其中并開始自動運行。
1、 該木馬程序運行后,將在系統(tǒng)文件夾生成:%SystemDir%\NTdhcp.exe,28400字節(jié)。
。▓D一)
并添加注冊表項:[HKEY_LOCALMACHINE\Softw
are\Microsoft\Windows\CurrentVersion\Run]“NTdhcp” = %SystemDir%\NTdhcp.exe這樣,在Windows啟動時,木馬得以自動運行。
(圖二)
2、 “QQ大盜”病毒(Trojan/PSW.QQpass.br)的盜取目標是用戶的QQ號、密碼和詳細的QQ資料信息。
“QQ大盜”病毒防范措施:
未感染病毒用戶:
升級殺毒軟件(如江民殺毒軟件KV2005)病毒庫到最新病毒庫,開啟病毒實監(jiān)控。將系統(tǒng)打上MHT文件下載執(zhí)行漏洞補丁程序。
微軟官方補丁網(wǎng)址:
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
已感染病毒的用戶:首先需安裝正版
殺毒軟件并升級最新病毒庫,對電腦進行全盤查殺。運行REGEDIT注冊表編輯器,定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],將RUN下面的鍵值“NTdhcp” = %SystemDir%\NTdhcp.exe刪除。
手工清除辦法:
首先運行任務管理器,查找并結(jié)束掉NTdhcp.exe進程
按照病毒文件所在位置System\NTdhcp.exe找到系統(tǒng)目錄下的病毒文件,手工刪除,。運行REGEDIT注冊表編輯器,
定位到[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],將RUN下面的鍵值“NTdhcp” = %SystemDir%\NTdhcp.exe刪除。
系統(tǒng)加固辦法:
1、使用WINDOWS UPDATE功能自動更新系統(tǒng)補丁。
2、下載安裝MHT文件下載執(zhí)行漏洞補丁。
MHT漏洞官方補丁下載地址:
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx